PDPA (Personal Data Protection Act)

content-image

ช่วงต้นเดือนพฤษภาคมที่ผ่านมามีข่าวใหญ่เกี่ยวกับกฎหมายสำคัญฉบับหนึ่งของประเทศ หลายท่านคงได้ทราบข่าวแล้ว สำหรับการเลื่อนบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายฉบับนี้ถูกเลื่อนบังคับใช้มาเป็นครั้งที่ 2 แล้ว จากกำหนดการในการบังคับใช้เดิมนั้นอยู่ในช่วงกลางปี 2563 ซึ่งได้ถูกเลื่อนมา 1 ครั้ง และในปีนี้ก็มีมติคณะรัฐมนตรี ให้กฎหมายฉบับนี้มีผลบังคับใช้เลื่อนออกไปเป็นวันที่ 1 มิถุนายน 2565 เหตุผลหลักในการเลื่อนมาจากสถานการณ์การแพร่ระบาดของโควิด-19 ที่ยังคงรุนแรง และต่อเนื่องในช่วงที่ผ่านมา

ถึงแม้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ได้ถูกเลื่อนออกไป แต่ในหลายกลุ่มธุรกิจได้ให้ความสำคัญกับกฎหมายฉบับนี้เป็นอย่างมาก ดังจะเห็นได้จากการที่ในหลายภาคส่วนธุรกิจได้มีการเตรียมตัว ดำเนินการโครงการรวมถึงจัดหาเครื่องมือ เพื่อให้องค์กรของตนปฏิบัติตามกฎหมายฉบับนี้ ตลอดช่วง 2 ปีที่ผ่าน อีกส่วนหนึ่งบางองค์การก็มีความจำเป็นที่จะต้องปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลในฝั่งยุโรปหรือ GDPR นั่นเอง ทั้งนี้ในปัจจุบันในทุกภาคส่วนก็ได้ตระหนักและได้ให้ความสำคัญกับความพยายามขององค์กรที่จะปกป้องข้อมูลส่วนบุคคลและการใช้สิทธิที่เกี่ยวกับข้อมูลส่วนบุคคล (Data Subject Access Right Request : DSAR) ที่เจ้าของข้อมูลส่วนบุคคล (Data Subject) เป็นเจ้าของ ยกตัวอย่างเช่น ช่องทางการใช้สิทธิผ่านบริการยื่นขอใช้สิทธิที่อยู่บนเว็บไซต์ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)

กฎหมายฉบับนี้เองอยู่ในระหว่างพัฒนากฎหมายลำดับรองรวมไปถึงประกาศที่เกี่ยวข้องเพิ่มเติม แต่ในส่วนภาคเอกชนและภาควิชาการนั้นก็ได้มีการร่วมมือกันและออกแนวปฏิบัติเพื่อเป็นแนวทาง อย่างไรก็ตามการนำแนวปฏิบัติดังกล่าวไปปรับใช้ในแต่ละองค์กรนั้นก็ยังจะต้องใช้ทรัพยากรอีกพอสมควร เนื่องจากมีความจำเป็นที่จะต้องตีความกฎหมายให้ชัดเจนยิ่งขึ้น รวมไปถึงการพิจารณาแนวปฏิบัติเหล่านั้นให้เหมาะสมกับบริบทขององค์กร หากจะสรุปโดยคร่าวในการดำเนินตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น องค์กรมีความจำเป็นที่จะต้องเตรียมการใน 3 ส่วนหลักดังนี้

  1. การเตรียมการด้านเอกสารทางกฎหมาย
    เอกสารทางกฎหมายทั้งสัญญา (Contract) หรือเอกสารความยินยอม (Consent) ที่ต้องสอดคล้องกับฐานทางกฎหมาย (Lawful basis) ที่องค์กรเหลือใช้ในแต่ละชุดข้อมูล และครอบคลุมการไหล (Data flow) ของข้อมูลส่วนบุคคลทั้งหมดที่อยู่ภายในองค์กร และนโยบายคุ้มครองข้อมูลส่วนบุคคลที่ต้องถูกระบุอย่างชัดเจนและให้เป็นไปตามบริบทขององค์กร รวมถึงสอดคล้องกับกลุยุทธ์และเป้าหมายขององค์กรเอง
  2. การเตรียมการด้านการปฏิบัติตามกฎหมาย
    เมื่อกฎหมายบังคับใช้แล้วมีความจำเป็นอย่างยิ่งในการเตรียมการ ไม่ว่าจะเป็น การรองรับการใช้สิทธิจากเจ้าของข้อมูลส่วนบุคคล (DSAR) การจัดการเหตุด้านความมั่นคงปลอดภัยที่เกี่ยวกับข้อมูลส่วนบุคคลที่องค์กรดูแลอยู่ (Privacy breach management) การเตรียมการบันทึกการประมวลผลข้อมูลส่วนบุคคล เป็นต้น
  3. การเตรียมการด้านการปกป้องข้อมูลส่วนบุคคล
    ข้อมูลส่วนบุคคลในรูปแบบใดก็ตามไม่ว่าจะ รูปแบบเอกสาร รูปแบบอิเล็กทรอนิกส์ หรือรูปแบบอื่น องค์กรเองมีความจำเป็นจะต้องมีมาตรการด้านความมั่นคงปลอดภัยที่เหมาะสม โดยพิจารณาผ่านกระบวนการประเมินความเสี่ยงด้านความเป็นส่วนตัว (Data Projection Impact Assessment : DPIA หรือ Privacy Risk) เพื่อมั่นใจได้ข้อมูลส่วนบุคคลที่ดูแลโดยองค์กรอยู่นั้นจะมีความมั่นคงปลอดภัยที่เพียงพอจากการเข้าถึง ประมวลผล เปลี่ยนแปลง หรือแม่กระทั้งการส่งต่อจะต้องถูกดำเนินการจากผู้ที่มีสิทธิในการใช้งานข้อมูลส่วนบุคคลเหล่านั้นเท่านั้น

ที่กล่าวมาข้างต้นนี้เป็นส่วนหนึ่งเท่านั้นที่องค์กรต้องเตรียมการ และเป็นเพียงข้อสรุปเท่านั้น ในการดำเนินการจริงเพื่อให้ปฏิบัติ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น มีการดำเนินการอีกจำนวนมาก รวมไปถึงในหลายองค์กรที่คาดการณ์ว่าจะมีการปฏิบัติงานที่เกิดขึ้นอีกมากหลังจากการบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ

เห็นได้จากในหลายองค์กรพิจารณาจัดหาหรือพัฒนาเครื่องมือบริหารจัดการในการดูแลข้อมูลส่วนบุคคลที่องค์กรดูแลอยู่ รวมไปถึงการขอรับรองมาตรฐานด้านการจัดการและการคุ้มครองข้อมูลส่วนบุคคล Privacy Information Management System:PIMS หรือมาตรฐาน ISO/IEC 27701:2019

โดยองค์กรชั้นนำในประเทศนำกรอบการดำเนินการตามาตรฐานนี้มาปรับใช้กับองค์กร รวมไปถึงขอการรับรองมาตรฐาน ปัจจุบันในประเทศไทยนั้นสามารถขอการรับรองในรูปแบบ accredited certification ได้แล้วด้วย นั่นก็แสดงว่ามาตรฐานที่ได้รับความนิยม ถูกพูดถึงในวงกว้างและได้ถูกนำไปปรับใช้กับองค์กรทั่วโลก (ในโอกาสหน้าผู้เขียนจะลงรายละเอียดในส่วนของรูปแบบมาตรฐานแบบaccredited และ non-accredited certification)

โดยผู้เขียนคาดการณ์ว่าในอีกไม่กี่ปีข้างหน้ามาตรฐานนี้จะได้รับความนิยมเป็นอย่างมากในประเทศไทยมาตรฐานฉบับนี้ครอบคลุมเนื้อหาของ GDPR ดังนั้นการดำเนินการตามมาตรฐานนี้จะครอบคลุมกับเนื้อหาที่มีอยู่ใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ อาจจะมีบางส่วนที่ตัวมาตรฐานมีเนื้อหาเกินจากกฎหมายของประเทศไทย เช่น Automated decision making ทั้งนี้ก็ขึ้นอยู่กับแต่ละองค์กรจะพิจารณาดำเนินการตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ในรูปแบบใดจะเริ่มจากปฏิบัติตามกฎหมายก่อน หรือจะเริ่มจากการนำกรอบมาตรฐานมาปรับใช้ในองค์กร โดยขึ้นอยู่กับความพร้อมและความชำนาญ ขององค์กร หากองค์กรใดได้รับรองมาตรฐาน ISO/IEC 27001:2013 อยู่แล้ว ก็เป็นเรื่องไม่ยากที่จะต่อยอดไปยังมาตรฐานด้านการดูแลและคุ้มครองข้อมูลส่วนบุคคล ISO/IEC 27701:2019

ทาง Incognito Lab มีทีมที่ปรึกษาที่ประสบการณ์และความชำนาญทั้ง ด้านของมาตรฐาน (standard) ด้านการดูแลความมั่นคงปลอดภัยของข้อมูล (personal data protection) และด้านกฎหมาย (legal) ผ่านการออกแบบ วิเคราะห์ ให้คำปรึกษากับบริษัทชั้นนำในประเทศมาอย่างยาวนาน โดยมาตรฐาน ISO ที่เราให้คำปรึึกษานั้นได้แก่ ISO27001, ISO27701, ISO20000, ISO22301

หากท่านต้องการสอบถามข้อมูลเพิ่มเติมสามารถติดต่อเราได้ที่ contact@incognitolab.com

OUR SERVICES

Get the help you need

Interested in our services or want to know more? Book a call through the website anytime — our team is happy to advise and answer all your questions.

More to read

Up Next

Blog preview image

ARTICLES

Mar

01

2021

Communication Plan and Security Breach Notification Law

เรียกได้ว่า Post นี้เกิดจากความสงสัยของผมที่ว่าเวลาที่ผมต้องหาข่าวเกี่ยวกับหน่วยงานหรือบริษัทที่ถูก Hack ในกรณีที่เป็นบริษัทในต่างประเทศเปรียบเทียบกับบริษัทในประเทศไทยแล้วมันมีความแตกต่างกัน สิ่งที่แตกต่างชัดเจนที่สุดคือ

READ MORE

Blog preview image

ARTICLES

Jun

26

2026

Security Hardening รากฐานความปลอดภัยของระบบ ที่ทุกคนควรใส่ใจ

ระบบปฏิบัติการ (OS) หรือ Server ที่ถูกติดตั้งมาในตอนแรก มักจะมีฟังก์ชันการทำงาน, Services หรือ Ports ต่าง ๆ เปิดทิ้งไว้เป็นค่าเริ่มต้นเพื่อความสะดวกในการใช้งาน กระบวนการทำ Security Hardening จึงเข้ามาจัดการอุดหรือแก้ไขปัญหาเหล่านี้ผ่านเทคนิคสำคัญ

READ MORE

Blog preview image

ARTICLES

May

19

2025

มหาวิทยาลัยทักษิณ มุ่งสู่มหาวิทยาลัยปลอดภัยด้านไซเบอร์ – อินค็อกนิโตแล็บร่วมผลักดันสู่มาตรฐาน ISO/IEC 27001:2022 พร้อมเสริมทัพด้วย Cyber Drill, Pentest และ PDPA

บริษัท อินค็อกนิโตแล็บ จำกัด ขอแสดงความยินดีกับ มหาวิทยาลัยทักษิณ ที่เดินหน้าสู่การเป็นองค์กรต้นแบบด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ด้วยการขับเคลื่อนโครงการ พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2022 สำหรับศูนย์เทคโนโลยีดิจิทัล

READ MORE

logologo

INCOGNITO LAB CO., LTD.

38 Soi Petchakasem 30, Pak Khlong Phasi Charoen, Phasi Charoen, Bangkok 10160

©2026 Incognito Lab Co., Ltd. All rights reserved

Terms & ConditionsPrivacy Policy